Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Zoom-lek geeft websites toegang tot miljoenen webcams

dinsdag 9 juli 2019, 10:32 door Redactie, 4 reacties

Een beveiligingslek in de videoconferentiesoftware Zoom maakt het voor willekeurige websites mogelijk om toegang tot miljoenen webcams te krijgen. Alleen het bezoeken van een website volstaat om de aanval uit te voeren. De software van Zoom zou door meer dan 750.000 bedrijven wereldwijd worden gebruikt.

Organisaties gebruiken het voor videoconferenties en andere zaken. Zoom claimde in 2015 meer dan 40 miljoen gebruikers te hebben. Een kwetsbaarheid in de Zoom-software voor macOS zorgt ervoor dat willekeurige websites gebruikers zonder toestemming aan een Zoom-gesprek kunnen laten deelnemen, met hun webcam ingeschakeld. In het geval gebruikers de Zoom-software hebben verwijderd is het via de achtergebleven localhost-webserver nog steeds mogelijk voor websites om de Zoom-software opnieuw te installeren. Wederom is er geen enkele interactie van de gebruiker vereist, behalve het bezoeken van een malafide site.

De kwetsbaarheid die toegang tot de webcam geeft maakt gebruik van een feature in Zoom om uitnodigingslinks te versturen. Zodra een gebruiker een dergelijke link in hun browser opent wordt de Zoom-software gestart. Onderzoeker Jonathan Leitschuh ontdekte dat deze feature niet op veilige wijze is geïmplementeerd. Het is mogelijk om de uitnodigingslink in een iframe te verbergen die vervolgens bij het bezoeken van de betreffende website automatisch wordt uitgevoerd.

Leitschuh rapporteerde de kwetsbaarheid op 26 maart van dit jaar aan Zoom. Het softwarebedrijf had tien dagen nodig om de kwetsbaarheid te bevestigen. Uiteindelijk heeft Zoom besloten de kwetsbaarheden waardoor gebruikers door alleen het bezoeken van een website aan een videoconferentie kunnen worden toegevoegd of de Zoom-software opnieuw wordt geïnstalleerd niet te verhelpen. Het bedrijf wil het naar eigen zeggen zo eenvoudig mogelijk voor gebruikers maken om aan een meeting deel te nemen, aldus de verklaring.

Zoom stelt verder dat gebruikers zien dat ze zonder hun toestemming zijn uitgenodigd aan een gesprek of meeting en die vervolgens kunnen verlaten. Tevens zal het bedrijf een update uitbrengen die ervoor zorgt dat de video-instelling van de eerste Zoom-meeting wordt onthouden. Als gebruikers bij die eerste meeting hebben ingesteld dat de webcam moet zijn uitgeschakeld, zal dit ook voor toekomstige meetings gelden. Daarnaast hebben gebruikers de optie om de webcam via de instellingen uit te schakelen.

Asco vraagt personeel vakantie te verzetten wegens ransomware
Microsoft waarschuwt voor aanval met lnk-bestanden
Reacties (4)
09-07-2019, 12:39 door [Account Verwijderd]
...Het bedrijf wil het naar eigen zeggen zo eenvoudig mogelijk voor gebruikers maken om aan een meeting deel te nemen, aldus de verklaring...

Een meting met malware mafiosi is volgens de ontwikkelaars van Zoom dus ook een feature die de gebruiksvriendelijkheid van hun software verhoogd....?

en dan:

Zoom stelt verder dat gebruikers zien dat ze zonder hun toestemming zijn uitgenodigd aan een gesprek of meeting en die vervolgens kunnen verlaten.

Wablief?
Dat geloof je toch niet.
Exploitatie van een kwetsbaarheid bij slechts bezoeken van een gecompromiteerde website gebeurt in minder dan miliseconden bij de huidige processorsnelheden. Het is daarom toch zot te adviseren dat je snel genoeg bent om te interveniëren in een malware exploitatie door nog op een knopje te gaan klikken.
09-07-2019, 15:06 door Anoniem
Ik denk dat dat een groot aantal bedrijven nu met spoed gaan evalueren wat ze hier mee willen en of ze naar een andere leverancier over kunnen stappen. Immers, zo'n reactie als die van Zoom geeft een duidelijk gebrek aan inzicht aan en geen privacy/security focus in de productontwikkeling.
10-07-2019, 06:42 door Anoniem
Ik heb m'n aandelen maandag al verkocht
10-07-2019, 09:28 door [Account Verwijderd] - Bijgewerkt: 10-07-2019, 09:29
Zoom is ondertussen toch overstag gegaan met emergency patches: https://www.theverge.com/2019/7/9/20688113/zoom-apple-mac-patch-vulnerability-emergency-fix-web-server-remove.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1040
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter